abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:44 | Bezpečnostní upozornění

    Nejnovější X.Org X server 21.1.24 a Xwayland 24.1.13 řeší 2 bezpečnostní chyby.

    Ladislav Hagara | Komentářů: 0
    dnes 04:22 | Komunita

    Clement "Clem" Lefebvre publikoval souhrn dění v Linux Mintu za červen 2026. Vypíchnuta je vylepšená podpora Waylandu. Už není považována za experimentální. V příští verzi Linux Mintu, plánována je na Vánoce, bude běh Cinnamonu plně podporován na X11 i Waylandu. V květnu na vývoj Linux Mintu přispělo 611 dárců celkovou částkou 19 612 dolarů. Dalších 2 326 patronů přispělo na Patreonu celkovou částkou 5 334 dolarů.

    Ladislav Hagara | Komentářů: 1
    dnes 04:00 | Bezpečnostní upozornění

    V Linuxu v KVM byla nalezena a v upstreamu již byla opravena kritická zranitelnost Januscape aneb CVE-2026-53359. Root na hostovaném počítači (virtuální stroj) může obejít izolaci a získat plnou kontrolu nad hostitelským systémem (DoS útok nebo vzdálené spuštění kódu s právy roota). Na obou hlavních architekturách – Intel i AMD. Zranitelnost v Linuxu existovala téměř 16 let (od srpna 2010 do června 2026).

    Ladislav Hagara | Komentářů: 0
    včera 19:44 | IT novinky

    Tribunál Soudního dvora Evropské unie dnes zamítl několik žalob, v nichž se americká společnost Apple ohrazovala proti pravidlům fungování velkých technologických společností na unijním trhu. Applu se nelíbilo, že jeho obchod s aplikacemi a operační systém iOS mají podléhat přísnějším povinnostem jen proto, že Brusel firmu považuje za takzvaného gatekeepera, tedy strážce přístupu.

    Ladislav Hagara | Komentářů: 1
    včera 13:11 | IT novinky

    Na WhatsAppu budou postupně v průběhu následujících měsíců zavedena uživatelská jména. Telefonní čísla tak mohou zůstat soukromá. Aktuálně si lze uživatelské jméno rezervovat.

    Ladislav Hagara | Komentářů: 3
    včera 11:11 | IT novinky

    Byl aktualizován TIOBE Index (Wikipedie). Programovací jazyk Rust se poprvé dostal do první desítky tohoto žebříčku popularity programovacích jazyků. Vede Python následovaný C, C++, Java, C#, …

    Ladislav Hagara | Komentářů: 0
    včera 01:55 | Nová verze

    Proton (Wikipedie), tj. fork Wine integrovaný ve Steamu umožňující na Linuxu hrát hry určené pouze pro Windows, byl vydán ve verzi 11.0-1. Přehled novinek se seznamem nově podporovaných her na GitHubu. Aktuální přehled všech podporovaných her na stránkách ProtonDB

    Ladislav Hagara | Komentářů: 0
    7.7. 20:44 | Zajímavý software

    Byly publikovány zdrojové kódy počítačové hry Unturned. Pro nekomerční účely. V plánu je přelicencování pod MIT. Hra Unturned je postavena nad multiplatformním herním enginem Unity.

    Ladislav Hagara | Komentářů: 1
    7.7. 15:55 | IT novinky

    První česká družice navržená a sestavená výhradně studenty se dostala na oběžnou dráhu Země. Družice KOSTKA, kterou vyvinul studentský tým YSpace z Vysokého učení technického v Brně (VUT), dnes odstartovala na palubě rakety Falcon 9 společnosti SpaceX v rámci mise Transporter-17 z kalifornské základny Vandenberg Space Force Base.

    Ladislav Hagara | Komentářů: 0
    7.7. 05:00 | IT novinky

    Po nákresech ovladače Steam Controller a puku společnost Valve na svém GitLabu publikovala projekt Inkterface, tj. podrobný návod (PDF, video v mp4) na sestavení předního panelu s e-papírovým displejem pro Steam Machine pro zobrazování systémových informací. Použity jsou součástky od společnosti Adafruit.

    Ladislav Hagara | Komentářů: 2
    Které desktopové prostředí na Linuxu používáte?
     (10%)
     (8%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (16%)
     (25%)
    Celkem 2079 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník

    Nette CVE-2020–15227 testing tool

    9.10.2020 05:45 | poslední úprava: 9.10.2020 16:19

    Ahoj!

    Dneska jen strucne, pripravil jsem tool na testovani zda li je web nachylny na bezpecnostni chybu v Nette frameworku CVE-2020–15227...
    Tool je dostupny na:
    https://salamek.cz/nette-test.php?url=https://example.com
    kde parametr url je URL na root testovaneho webu napsaneho v Nette.

    PS: Zdrojak neni dostupny z duvodu zamezeni zneuziti nejakymi script kiddies, a ti schopnejsi na to prijdou z GIT diffu nebo access.log... Tool vznikl z duvodu otestovani mnou provozovanych webu pred/po aplikaci patche
    2020-10-09 14:16:40 UTC: Pridano info co jednotlive testy delaji a pridan zdrojak payload souboru a hook endpointu        

    Hodnocení: 83 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    9.10.2020 08:38 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    hacknete si sami misto me svuj server :-D
    9.10.2020 08:45 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    A jak myslíš, že se to dělá? Za sebe musím říct, že pokud bych si nechal dělat audit na web, tak pro jistotu současně od dvou vzájemně nezávislých subjektů, protože nemůžeš vědět, jestli ten jeden něco neopomene, či ještě hůř, ten tvůj web nenainfikuje.
    9.10.2020 09:43 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    ano, pokud na to mas firmu na audit, sepisete o tom nejakou smlouvu, sankce, NDA - pustit neco z linku ulozeneho na abclinuxu.cz jako, ze to otestuje server, ale zdrojaky neukazu je krajne rizikove chovani
    9.10.2020 10:01 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    To nerozporuji. Ale chápu, proč ty zdrojáky nechce dát veřejně k dispozici. Předpokládám, vzhledem k jeho poznámce, že autoři nette už tu chybu opravili, takže řešil situaci jak upozornit ty, co ten framework používají, že by měli ve vlastním zájmu udělat upgrade. Bohužel je fakt, byť smutný, že si firmy nechají splácat od někoho web a ten běží v nějakém kontejneru tak dlouho, dokud ho někdo nenabourá. Jen málokdo provozuje nějaký web a průběžně ho aktualizuje. Já to dělám jen v případě že si to něco vynutí. Většinou je ekonomicky přijatelnější si nechat od někoho jiného splácat web nový.
    Salamek avatar 9.10.2020 13:42 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    test nijak nemeni kod ciloveho webu ani nepridava zadny explot etc. overit si to muzes nasmerovanim testu na web kde mas pristup k access.log a uvidis co to dela, vse to jsou GET requesty...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    9.10.2020 19:04 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    coz zjistim z logu az to provedu. Jde uplne jasne o socialni hacking, spuste si sami kod na hacknuti stranky, neco jako kdysi ten veselej vir, vzhledem k zaostalosti nasi zeme vam nemuzeme nijak ublizit, prosim smazte si nejake soubory a poslete me dal.
    9.10.2020 19:46 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Je možné si to spustit nad nějakou testovací instancí toho, co chcete testovat, ve virtuálu (a s omezenou sítí, …) a potom totéž ověřit a zopakovat manuálně tam, kde potřebujete.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    Salamek avatar 9.10.2020 21:11 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Ehm nemam problem napsat crawler a za ~24h projet cely cesky internet... ale proc bych to delal kdyz nejsem cracker ani zlodej?
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    Josef Kufner avatar 9.10.2020 19:41 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    GET neznamená, že nemůže měnit data.
    Hello world ! Segmentation fault (core dumped)
    Salamek avatar 9.10.2020 21:08 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    No Shit Sherlock, bylo to mysleno tak ze v access.log jde u GET requestu videt vse, u POST nevidis body
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    10.10.2020 00:04 Cabrón
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    I to se dá, např. v nginx stačí někde definovat log_format postdata $request_body; a potom v příslušném server nebo location bloku mít access_log /var/log/www/moje-super-nette-aplikace.log postdata;
    Max avatar 9.10.2020 08:41 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Tak Salámkovi se dá věřit...pokud mu věříte :).
    Zdar Max
    Měl jsem sen ... :(
    Josef Kufner avatar 9.10.2020 09:42 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Poskytneš pak nějaké zajímavé statistiky z nasbíraných dat?
    Hello world ! Segmentation fault (core dumped)
    Salamek avatar 9.10.2020 13:37 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Nesbiram zadna data krome access.log ktery generuje nginx.
    test id slouzi pouze k internimu porovnani request/response request/hook... data hooku jsou mazana hned po provedeni testu...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    9.10.2020 11:39 z_sk | skóre: 34 | blog: analyzy
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Dik.
    debian.plus@protonmail.com
    9.10.2020 19:36 kvr
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Snaha dobrá, ale script kiddies to asi příliš neomezí. Nechcu malovat čerta na zeď, ale i bez zdrojáků lze celkem snadno zjistit, co to asi dělá...

    Jinak, expert na Nette nejsem, ale přijde mi ten fix jako z bláta do louže. V JEE jsou na interní věci request attributes a něco takového se tam nemůže stát. Tohle je v principu chyba návrhu. Chápu, že vyřešit to správně by potenciálně znamenalo rozbít existující systémy (tedy, pokud to někdo využívá).
    Salamek avatar 9.10.2020 21:16 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Dyt to tam pisu ze schopejsi lidi si to zjisti z GIT diffu nebo access.log, jde mi to jim to nenaservirovat na taliri
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    9.10.2020 22:04 Odin1918 | skóre: 6 | blog: Valhalla
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Jo, at zije sablonovaci jazyk php. :-D
    10.4.2021 14:46 Tilly Racker
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Bill byl dědicem ke jménu firmy Standard Oil guitar lessons near me
    10.4.2021 14:57 Tilly Racker
    Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
    Protože vím, že je to pravda guitar lessons near me

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.